c#SQL参数化查询自动生成SqlParameter列表

最新推荐文章于 2024-07-15 15:39:49 发布
最新推荐文章于 2024-07-15 15:39:49 发布
阅读量7.7k 收藏 6
点赞数 3
分类专栏: 数据库 文章标签: .net sql SqlParameter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xxs77ch/article/details/51513722
版权
本文介绍了一种方法,用于在C#中自动填充SqlParameter列表,以简化大量数据的参数化查询过程,有效防止SQL注入。该方法支持泛型和动态类型如Object及ExpandoObject。
摘要由CSDN通过智能技术生成

 string sql = @"INSERT INTO stu VALUES (@id,@name) ";

参数化查询是经常用到的,它可以有效防止SQL注入。但是需要手动去匹配参数@id,@name。数据量大时很繁琐,下面是自动填充SqlParameter列表的实现。

支持泛型,Object和ExpandoObject动态类型

using System;
using System.Collections.Generic;
using System.Data.SqlClient;
using System.Linq;
using System.Reflection;
using System.Text;
using System.Text.RegularExpressions;
using System.Dynamic;
namespace Comm
{
    /// <summary>
    /// 作者:徐晓硕
    /// 邮箱:xuxiaoshuo@fang.com
    /// 版本:v1.0.0
    /// </summary>
    public class GetSqlParameters
    {
        /// <summary>
        /// 过滤参数的规则
        /// </summary>
        private static Regex reg = new Regex(@"@\S{1,}?(,|\s|;|--|\)|$)");

        private static char[] filterChars = new char[] { ' ', ',', ';', '-',')' };

        /// <summary>
        /// 根据sql语句和实体对象自动生成参数化查询SqlParameter列表
        /// </summary>
        /// <typeparam name="T">实体对象类型</typeparam>
        /// <param name="sqlStr">sql语句</param>
        /// <param name="obj">实体对象</param>
        /// <returns>SqlParameter列表</returns>
        public static List<SqlParameter> From<T>(String sqlStr, T obj)
        {
            List<SqlParameter> parameters =
最低0.47元/天 解锁文章
天水宇
关注
专栏目录
SqlServer:使用IN()子句C#进行参数化查询
04-07
标题中的“SqlServer:使用IN()子句C#进行参数化查询”指的是在SQL Server数据库中,使用C#编程语言来构建一个参数化查询,该查询涉及到SQL的IN操作符。IN操作符允许我们在WHERE子句中指定一个值列表查询满足...
C#做的"参数化查询"
10-19
C#做的"参数化查询"很简单的小程序,让你一看就会....
C#]参数化查询的一个重要问题
weixin_34195364的博客
08-01 298
C#]参数化查询的一个重要问题 使用参数化 DbCommand 的一个缺点是需要参数的代码将仅适用于支持相同语法的提供程序。OLEDB、SqlClient 和 Oracle 提供程序全部使用不同的语法。例如,用于命名和指定参数的 SQL 语法使用 @ 符号,OLEDB 参数语法需要使用问号 (?) 作为参数占位符,而 Oracle 提供程序使用冒号 (:)。 string ...
C#知识|SqlParameterCollection 只接受非空的 SqlParameter 类型对象,不接受 SqlParameter[] 对象
最新发布
做有价值的事,积累有价值的笔记!
07-15 364
哈喽,你好啊,我是雷工!今天在练习C#时遇到报错:SqlParameterCollection 只接受非空的 SqlParameter 类型对象,不接受 SqlParameter[] 对象。
SQL Server 动态行转列(参数化表名、分组列、行转列字段、字段值)
weixin_34268753的博客
05-26 248
一.本文所涉及的内容(Contents) 本文所涉及的内容(Contents) 背景(Contexts) 实现代码(SQL Codes) 方法一:使用拼接SQL,静态列字段; 方法二:使用拼接SQL,动态列字段; 方法三:使用PIVOT关系运算符,静态列字段; 方法四:使用PIVOT关系运算符,动态列字段; 扩展阅读一:参数化表名、分组列、行转列字段、字段值; 扩展阅读二:在...
c# List<SqlParameter> 数据转 T类型
wqs15192095633的专栏
10-22 676
List<SqlParameter> listParam = new List<SqlParameter>(); dynamic obj = new System.Dynamic.ExpandoObject(); foreach (SqlParameter item in listParam) { ((IDictionary<string, object>)obj).Add(item.ParameterName, item.Value)...
[C#] 数据库 参数化 查询
ShanHaiyang
04-11 7813
为了数据库注入漏洞, 我们在对数据库进行查询的时候, 要使用参数化查询   using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Data.SqlClient; namespace 参数化查询 { class Program {
SqlServer参数化查询之where in和like实现详解
12-15
本文主要讨论如何实现`WHERE IN`和`LIKE`的参数化查询,这两种操作在数据库查询中非常常见,尤其是在处理列表或者模糊匹配时。 首先,我们来看`WHERE IN`的参数化查询。通常,开发人员会直接将参数值拼接进SQL字符...
C#SqlParameter参数写法
04-17
使用`SqlParameter`进行参数化查询.NET开发中的一个重要概念,它有助于确保数据安全性和提高执行效率。在实际应用中,建议尽可能使用参数化查询代替拼接SQL字符串的方式,尤其是在处理用户输入的情况下。此外,...
C#SQL注入之SqlParameter参数化
12-30
开发的时候为了方便快速,经常会使用SQL语句拼接的方式,这往往让不法分子有了...所以我们必须丢弃上面这种方式,使用SqlParameter进行参数化,这样才能提升代码健壮性 SqlCommand cmd = new SqlCommand(); cmd.Comman
C#参数化查询,避免SQL注入
11-03
一个可以避免SQL注入的方法,大家可以通过这个方法解决一些在与数据库打交道时的安全问题
C# 查询参数化例子
10-28
C#查询参数化例子,里面详细讲解存储过程的使用。
C#参数化SQL查询
weixin_30628801的博客
11-07 362
//写一个存储过程 ALTER PROCEDURE dbo.Infosearch ( @bmid smallint = null, @xm varchar(10)=null, @xb varchar(10)=null, @strage smallint=null, @endage smallint=null, ...
c# mysql参数化查询_C# MySQL 参数化查询方式
weixin_32200729的博客
01-19 1508
C# MySQL 参数化查询方式using System;using MySql.Data.MySqlClient;namespace MySqlDemo{class Program{static void Main(string[] args){string connectionString = "server=127.0.0.1;port=3306;database=test_db;chars...
C#参数化查询使用Demo
Stay hungry,stay foolish
11-24 662
以后还是要坚持这么写老是忘了。就单独写一个文章记录一下!
c#查询参数化例子
龙卷风(2007)
04-10 3115
--Web.Config 配置                       ---页面绑定代码:(查询参数化)String DBConnStr;   DataSet MyDataSet=new DataSet();   TextBox1.Text ="2";   System.Data.SqlClient.SqlDataAdapter DataAdapter=new System.D
C#参数化模糊查询
小小的花园里面挖呀挖呀~
12-24 3363
private void button1_Click(object sender, EventArgs e) { SqlParameter pName = new SqlParameter("@name","%"+textBox1.Text+"%"); DataTable dt = Dbutil.GetData("select * f
SQL Server参数化查询:WHERE IN与LIKE实现策略
"这篇文档详细介绍了在Sql Server中如何实现参数化查询,特别是针对`WHERE IN`和`LIKE`操作的实现方式。" 在SQL Server中,参数化查询是提高性能和防止SQL注入的重要手段。当涉及到大量数据的`WHERE IN`子句或者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值